SlideShare a Scribd company logo

Mekanisme Pertahanan DDoS

Download as PPTX, PDF
H
Hadrian Bayanulhaq Siregar

Dokumen tersebut membahas mekanisme pertahanan terhadap serangan DDoS melalui siklus pertahanan yang terdiri dari prevention, monitoring and detection, serta mitigation. Prevention meliputi over provisioning, modifikasi algoritma scheduling, serta resource accounting dan QoS. Monitoring and detection menggunakan signature-based detection dan behaviour-based detection. Mitigation tactics mencakup rate limiting dan filtering, sedangkan mitigation strategy terdiri dari collaborative dan non-collaborative approach seperti redirecting.

Internet
1 of 16
Mekanisme Pertahanan DDoS Studi Kasus: Komputasi Awan 5112100145 Hadrian Bayanulhaq S. 5112100175 Reyhan Arief 5112100177 Said Al Musayyab
Siklus Pertahanan
Prevention Mencoba untuk mengeliminasi kemungkinan serangan DDoS Memungkinkan untuk bertahan dari serangan tanpa menghentikan layanan terhadap klien yang sah Mengurangi dampak serangan DDoS
Prevention: Over Provisioning Menyediakan resource berlebih untuk mengatasi jumlah traffic di atas normal Not sustainable 2009 → 49 Gbps (ARBOR Network report) 2013 → 300 Gbps (CloudFlare report 2014); Serangan DDoS rata-rata berukuran 1.5 Gbps (2012) hingga 3.5 Gbps (2013)
Prevention: Modifikasi Algoritma Scheduling Tujuan: Lebih memilih legitimate traffic ketimbang malicious traffic How? DDoS resilient scheduler dan suspicion assignment mechanism [1, 2] Hasil pengujian: Suspicion-aware policies → response time 0.1 s Suspicion-agnostic policies → response time 10 s [1] Shameli-Sendi A, Dagenais M. ARITO: cyber-attack response system using accurate risk impact tolerance. Int J Inf Secur 2013. , http://dx.doi.org/10.1007/s10207-013-0222-9.
Prevention: Resource Accounting dan QoS Mencatat penggunaan resource Contoh: bandwidth, process time Melakukan monitoring penggunaan resource Pengamanan resource dengan mekanisme QoS: Traffic shaping Congestion avoidance Traffic class priorities
Monitoring and Detection Signature-based Detection Behaviour-based Detection
Monitoring and Detection : Signature-based Pada teknik ini, traffic yang masuk di bandingkan dengan pola serangan yang sudah di defenisikan / di dapatkan sebelumnya. Tenkik ini berguna untuk mendeteksi komunikasi antara penyerang dan zombie nya. Namun teknik ini tidak efektif jika komunikasi antar penyerang dan zombie nya ter enkripsi.
Monitoring and Detection : Behaviour-based Behaviour-based menentukan bahwa perilaku traffic berjalan normal. Penentuan perilaku dapat dibandingkan pola traffic DDOS. Perilaku normal didapatkan berdasarkan : Uplink & Downlink seharusnya proporsional Statistic on connection characteristic, digunakan untuk menentukan perilaku tidak yang tidak normal Memonitor traffic dan menggunakan machine learning untuk melakukan klasifikasi normal dan abnormal behaviour
Mitigation Mitigation Tactics Mitigation Strategy
Mitigation Tactics Rate Limiting Flow rate-limiting : melakukan pembatasan traffic setiap individu client Aggregate rate-limiting : melakukan pembatasan berdasarkan sumber/tujuan aplikasi atau alamat, protokol, ataupun kriteria lain.
Mitigation Tactics Filtering Address-based filtering filter berdasarkan Source IP Address, Source Port, Destination IP Address, Destination Port, Protocol, MAC Address Quick, simple & effective Signature-based filtering : filter berdasarkan signature yang telah didapatkan / di tentukan sebelumnya. Traffic di analisa untuk mendeteksi pola yang cocok dengan singature dari sebuah DDoS attack. Behavior-based filtering
Mitigation Strategy Collaborative Firewall Cooperative Defense Menempatkan beberapa firewall dan bekerjasama untuk mengentikan serangan DDOS dari node terdekat Pushback Cooperative Defense Kolaborasi antar router, saling bertukar informasi mengenai malicious traffic (pushback) Blackholing Cooperative Defense Dikenal juga sebagai blackhole filtering, yaitu melakukan drop paket di level router.
Mitigation Strategy Non-Collaborative-Dynamic strategy Redirecting & shunting Pada teknik ini traffic di arahkan ke interface lain. Malicious traffic tersebut di arahkan ke scrubbing centers. Beberapa solusi komersial yang berbasis teknik ini adalah : Riverhead Guard Cisco Guard
Mitigation Strategy Reconfiguration Teknik reconfiguration ini mengubah topologi atau mengubah mekanisme pertahanan korban untuk mencegah serangan DDoS. Beberapa kategori reconfiguration : Service Reconfiguration Network Reconfiguration Defense Reconfiguration
“There’s no 100% way of protecting yourself against a DDoS attack” -- David Jacoby, Global Research and Analysis Team at Kaspersky

Recommended

Av lesson 5
Av lesson 5Av lesson 5
Av lesson 5Neil James
 
ULTRASONOGRAFİ DERSLERİ
ULTRASONOGRAFİ DERSLERİULTRASONOGRAFİ DERSLERİ
ULTRASONOGRAFİ DERSLERİuzmdrbahriyildiz
 
Orlando higuita_angie_mican:1003
Orlando higuita_angie_mican:1003Orlando higuita_angie_mican:1003
Orlando higuita_angie_mican:1003Angie_Stephany
 
Multiple Regression
Multiple RegressionMultiple Regression
Multiple RegressionNicholas Manurung
 
CYP 2014
CYP 2014CYP 2014
CYP 2014Nicholas Manurung
 
Kadın genital ultrasonografisi
Kadın genital ultrasonografisiKadın genital ultrasonografisi
Kadın genital ultrasonografisiuzmdrbahriyildiz
 
Nokia
NokiaNokia
Nokiafreddyandres
 
2014 Annual Report
2014 Annual Report2014 Annual Report
2014 Annual ReportNancy Nguyen
 

Recommended

Av lesson 5
Av lesson 5Av lesson 5
Av lesson 5Neil James
 
ULTRASONOGRAFİ DERSLERİ
ULTRASONOGRAFİ DERSLERİULTRASONOGRAFİ DERSLERİ
ULTRASONOGRAFİ DERSLERİuzmdrbahriyildiz
 
Orlando higuita_angie_mican:1003
Orlando higuita_angie_mican:1003Orlando higuita_angie_mican:1003
Orlando higuita_angie_mican:1003Angie_Stephany
 
Multiple Regression
Multiple RegressionMultiple Regression
Multiple RegressionNicholas Manurung
 
CYP 2014
CYP 2014CYP 2014
CYP 2014Nicholas Manurung
 
Kadın genital ultrasonografisi
Kadın genital ultrasonografisiKadın genital ultrasonografisi
Kadın genital ultrasonografisiuzmdrbahriyildiz
 
Nokia
NokiaNokia
Nokiafreddyandres
 
2014 Annual Report
2014 Annual Report2014 Annual Report
2014 Annual ReportNancy Nguyen
 
FIAZ_CV
FIAZ_CVFIAZ_CV
FIAZ_CVFiaz Ahmed
 
Vehiculos extraordinarios
Vehiculos extraordinariosVehiculos extraordinarios
Vehiculos extraordinariosCarlos Colomer
 
Böbreküstü bezi ultrasonografisi
Böbreküstü bezi ultrasonografisiBöbreküstü bezi ultrasonografisi
Böbreküstü bezi ultrasonografisiuzmdrbahriyildiz
 
Встраивание языка в строковой интерполятор
Встраивание языка в строковой интерполяторВстраивание языка в строковой интерполятор
Встраивание языка в строковой интерполяторMichael Limansky
 
Como Escribir Guion dramatico de_radio
Como Escribir Guion dramatico de_radioComo Escribir Guion dramatico de_radio
Como Escribir Guion dramatico de_radiojenirlopez
 
As metodologias de investigação em sociologia e ciências sociais
As metodologias de investigação em sociologia e ciências sociaisAs metodologias de investigação em sociologia e ciências sociais
As metodologias de investigação em sociologia e ciências sociaisCatarina Alexandra
 
Tugas keamanan komputer 3
Tugas keamanan komputer 3Tugas keamanan komputer 3
Tugas keamanan komputer 3Alvin Alvin
 
Information System Security - Konsep dan Kebijakan Keamanan
Information System Security - Konsep dan Kebijakan KeamananInformation System Security - Konsep dan Kebijakan Keamanan
Information System Security - Konsep dan Kebijakan KeamananDudy Ali
 
Si pi, dewi indriyani, hapzi ali, dasar keamanan informasi, universitas mercu...
Si pi, dewi indriyani, hapzi ali, dasar keamanan informasi, universitas mercu...Si pi, dewi indriyani, hapzi ali, dasar keamanan informasi, universitas mercu...
Si pi, dewi indriyani, hapzi ali, dasar keamanan informasi, universitas mercu...Dewiindriyaniwahdiyansyah
 
Quality of service (qos) & network management
Quality of service (qos) & network managementQuality of service (qos) & network management
Quality of service (qos) & network managementIlham Sofyar Agung
 
IDS ( Intrusion Detection System)
IDS ( Intrusion Detection System)IDS ( Intrusion Detection System)
IDS ( Intrusion Detection System)Seno Enno
 
Pertemuan 10 keamanan jaringan dgn firewall
Pertemuan 10 keamanan jaringan dgn firewallPertemuan 10 keamanan jaringan dgn firewall
Pertemuan 10 keamanan jaringan dgn firewalljumiathyasiz
 
Deteksi Serangan Denial of Service Menggunakan Artificial Imune System
Deteksi Serangan Denial of Service Menggunakan Artificial Imune SystemDeteksi Serangan Denial of Service Menggunakan Artificial Imune System
Deteksi Serangan Denial of Service Menggunakan Artificial Imune SystemDeris Stiawan
 
pert 2.pptx
pert 2.pptxpert 2.pptx
pert 2.pptxtplestari89
 
Firewall, NAT dan Proxy Server
Firewall, NAT dan Proxy ServerFirewall, NAT dan Proxy Server
Firewall, NAT dan Proxy ServerErlangga Abdul Rahman
 
Tugas keamanan komputer kelompok
Tugas keamanan komputer kelompokTugas keamanan komputer kelompok
Tugas keamanan komputer kelompokMuhammadLutfi76
 
Penetration tool berbasis sistem terdistribusi untuk analisa vulnerability pa...
Penetration tool berbasis sistem terdistribusi untuk analisa vulnerability pa...Penetration tool berbasis sistem terdistribusi untuk analisa vulnerability pa...
Penetration tool berbasis sistem terdistribusi untuk analisa vulnerability pa...idsecconf
 
Optimasi rute untuk_software_defined_networking-wi
Optimasi rute untuk_software_defined_networking-wiOptimasi rute untuk_software_defined_networking-wi
Optimasi rute untuk_software_defined_networking-wiEM Nasrul
 
Mikrotik firewall chain forward
Mikrotik firewall chain forwardMikrotik firewall chain forward
Mikrotik firewall chain forwardsyahrulfadillah16
 
Konsep dasar management bandwidth-AIJTKJGNC
Konsep dasar management bandwidth-AIJTKJGNCKonsep dasar management bandwidth-AIJTKJGNC
Konsep dasar management bandwidth-AIJTKJGNCAsepSukarya2
 
Network Intrusion Analysis menggunakan Bro IDS dan Data-Informed Approach
Network Intrusion Analysis menggunakan Bro IDS dan Data-Informed ApproachNetwork Intrusion Analysis menggunakan Bro IDS dan Data-Informed Approach
Network Intrusion Analysis menggunakan Bro IDS dan Data-Informed ApproachAbid Famasya A
 
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule OptionsSistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Optionscomnets
 

More Related Content

Viewers also liked

Vehiculos extraordinarios
Vehiculos extraordinariosVehiculos extraordinarios
Vehiculos extraordinariosCarlos Colomer
 
Böbreküstü bezi ultrasonografisi
Böbreküstü bezi ultrasonografisiBöbreküstü bezi ultrasonografisi
Böbreküstü bezi ultrasonografisiuzmdrbahriyildiz
 
Встраивание языка в строковой интерполятор
Встраивание языка в строковой интерполяторВстраивание языка в строковой интерполятор
Встраивание языка в строковой интерполяторMichael Limansky
 
Como Escribir Guion dramatico de_radio
Como Escribir Guion dramatico de_radioComo Escribir Guion dramatico de_radio
Como Escribir Guion dramatico de_radiojenirlopez
 
As metodologias de investigação em sociologia e ciências sociais
As metodologias de investigação em sociologia e ciências sociaisAs metodologias de investigação em sociologia e ciências sociais
As metodologias de investigação em sociologia e ciências sociaisCatarina Alexandra
 

Viewers also liked (6)

FIAZ_CV
FIAZ_CVFIAZ_CV
FIAZ_CV
 
Vehiculos extraordinarios
Vehiculos extraordinariosVehiculos extraordinarios
Vehiculos extraordinarios
 
Böbreküstü bezi ultrasonografisi
Böbreküstü bezi ultrasonografisiBöbreküstü bezi ultrasonografisi
Böbreküstü bezi ultrasonografisi
 
Встраивание языка в строковой интерполятор
Встраивание языка в строковой интерполяторВстраивание языка в строковой интерполятор
Встраивание языка в строковой интерполятор
 
Como Escribir Guion dramatico de_radio
Como Escribir Guion dramatico de_radioComo Escribir Guion dramatico de_radio
Como Escribir Guion dramatico de_radio
 
As metodologias de investigação em sociologia e ciências sociais
As metodologias de investigação em sociologia e ciências sociaisAs metodologias de investigação em sociologia e ciências sociais
As metodologias de investigação em sociologia e ciências sociais
 

Similar to Mekanisme Pertahanan DDoS

Tugas keamanan komputer 3
Tugas keamanan komputer 3Tugas keamanan komputer 3
Tugas keamanan komputer 3Alvin Alvin
 
Information System Security - Konsep dan Kebijakan Keamanan
Information System Security - Konsep dan Kebijakan KeamananInformation System Security - Konsep dan Kebijakan Keamanan
Information System Security - Konsep dan Kebijakan KeamananDudy Ali
 
Si pi, dewi indriyani, hapzi ali, dasar keamanan informasi, universitas mercu...
Si pi, dewi indriyani, hapzi ali, dasar keamanan informasi, universitas mercu...Si pi, dewi indriyani, hapzi ali, dasar keamanan informasi, universitas mercu...
Si pi, dewi indriyani, hapzi ali, dasar keamanan informasi, universitas mercu...Dewiindriyaniwahdiyansyah
 
Quality of service (qos) & network management
Quality of service (qos) & network managementQuality of service (qos) & network management
Quality of service (qos) & network managementIlham Sofyar Agung
 
IDS ( Intrusion Detection System)
IDS ( Intrusion Detection System)IDS ( Intrusion Detection System)
IDS ( Intrusion Detection System)Seno Enno
 
Pertemuan 10 keamanan jaringan dgn firewall
Pertemuan 10 keamanan jaringan dgn firewallPertemuan 10 keamanan jaringan dgn firewall
Pertemuan 10 keamanan jaringan dgn firewalljumiathyasiz
 
Deteksi Serangan Denial of Service Menggunakan Artificial Imune System
Deteksi Serangan Denial of Service Menggunakan Artificial Imune SystemDeteksi Serangan Denial of Service Menggunakan Artificial Imune System
Deteksi Serangan Denial of Service Menggunakan Artificial Imune SystemDeris Stiawan
 
Tugas keamanan komputer kelompok
Tugas keamanan komputer kelompokTugas keamanan komputer kelompok
Tugas keamanan komputer kelompokMuhammadLutfi76
 
Penetration tool berbasis sistem terdistribusi untuk analisa vulnerability pa...
Penetration tool berbasis sistem terdistribusi untuk analisa vulnerability pa...Penetration tool berbasis sistem terdistribusi untuk analisa vulnerability pa...
Penetration tool berbasis sistem terdistribusi untuk analisa vulnerability pa...idsecconf
 
Optimasi rute untuk_software_defined_networking-wi
Optimasi rute untuk_software_defined_networking-wiOptimasi rute untuk_software_defined_networking-wi
Optimasi rute untuk_software_defined_networking-wiEM Nasrul
 
Mikrotik firewall chain forward
Mikrotik firewall chain forwardMikrotik firewall chain forward
Mikrotik firewall chain forwardsyahrulfadillah16
 
Konsep dasar management bandwidth-AIJTKJGNC
Konsep dasar management bandwidth-AIJTKJGNCKonsep dasar management bandwidth-AIJTKJGNC
Konsep dasar management bandwidth-AIJTKJGNCAsepSukarya2
 
Network Intrusion Analysis menggunakan Bro IDS dan Data-Informed Approach
Network Intrusion Analysis menggunakan Bro IDS dan Data-Informed ApproachNetwork Intrusion Analysis menggunakan Bro IDS dan Data-Informed Approach
Network Intrusion Analysis menggunakan Bro IDS dan Data-Informed ApproachAbid Famasya A
 
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule OptionsSistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Optionscomnets
 
Pengertian NAT, Proxy Server dan Firewall
Pengertian NAT, Proxy Server dan FirewallPengertian NAT, Proxy Server dan Firewall
Pengertian NAT, Proxy Server dan Firewallmochyusufaizal
 
SI&PI, RYAN JULIAN, HAPZI ALI, KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERA...
SI&PI, RYAN JULIAN, HAPZI ALI, KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERA...SI&PI, RYAN JULIAN, HAPZI ALI, KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERA...
SI&PI, RYAN JULIAN, HAPZI ALI, KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERA...Ryan Julian
 
Tugas1 di adisty padmasari_on wide area network optimization
Tugas1 di adisty padmasari_on wide area network optimizationTugas1 di adisty padmasari_on wide area network optimization
Tugas1 di adisty padmasari_on wide area network optimizationAdisty Padmasari
 
Mari Mengenal Cloud Computing
Mari Mengenal Cloud ComputingMari Mengenal Cloud Computing
Mari Mengenal Cloud ComputingRia_Pratiwi_Uloli
 

Similar to Mekanisme Pertahanan DDoS (20)

Tugas keamanan komputer 3
Tugas keamanan komputer 3Tugas keamanan komputer 3
Tugas keamanan komputer 3
 
Information System Security - Konsep dan Kebijakan Keamanan
Information System Security - Konsep dan Kebijakan KeamananInformation System Security - Konsep dan Kebijakan Keamanan
Information System Security - Konsep dan Kebijakan Keamanan
 
Si pi, dewi indriyani, hapzi ali, dasar keamanan informasi, universitas mercu...
Si pi, dewi indriyani, hapzi ali, dasar keamanan informasi, universitas mercu...Si pi, dewi indriyani, hapzi ali, dasar keamanan informasi, universitas mercu...
Si pi, dewi indriyani, hapzi ali, dasar keamanan informasi, universitas mercu...
 
Quality of service (qos) & network management
Quality of service (qos) & network managementQuality of service (qos) & network management
Quality of service (qos) & network management
 
IDS ( Intrusion Detection System)
IDS ( Intrusion Detection System)IDS ( Intrusion Detection System)
IDS ( Intrusion Detection System)
 
Pertemuan 10 keamanan jaringan dgn firewall
Pertemuan 10 keamanan jaringan dgn firewallPertemuan 10 keamanan jaringan dgn firewall
Pertemuan 10 keamanan jaringan dgn firewall
 
Deteksi Serangan Denial of Service Menggunakan Artificial Imune System
Deteksi Serangan Denial of Service Menggunakan Artificial Imune SystemDeteksi Serangan Denial of Service Menggunakan Artificial Imune System
Deteksi Serangan Denial of Service Menggunakan Artificial Imune System
 
pert 2.pptx
pert 2.pptxpert 2.pptx
pert 2.pptx
 
Firewall, NAT dan Proxy Server
Firewall, NAT dan Proxy ServerFirewall, NAT dan Proxy Server
Firewall, NAT dan Proxy Server
 
Tugas keamanan komputer kelompok
Tugas keamanan komputer kelompokTugas keamanan komputer kelompok
Tugas keamanan komputer kelompok
 
Penetration tool berbasis sistem terdistribusi untuk analisa vulnerability pa...
Penetration tool berbasis sistem terdistribusi untuk analisa vulnerability pa...Penetration tool berbasis sistem terdistribusi untuk analisa vulnerability pa...
Penetration tool berbasis sistem terdistribusi untuk analisa vulnerability pa...
 
Optimasi rute untuk_software_defined_networking-wi
Optimasi rute untuk_software_defined_networking-wiOptimasi rute untuk_software_defined_networking-wi
Optimasi rute untuk_software_defined_networking-wi
 
Mikrotik firewall chain forward
Mikrotik firewall chain forwardMikrotik firewall chain forward
Mikrotik firewall chain forward
 
Konsep dasar management bandwidth-AIJTKJGNC
Konsep dasar management bandwidth-AIJTKJGNCKonsep dasar management bandwidth-AIJTKJGNC
Konsep dasar management bandwidth-AIJTKJGNC
 
Network Intrusion Analysis menggunakan Bro IDS dan Data-Informed Approach
Network Intrusion Analysis menggunakan Bro IDS dan Data-Informed ApproachNetwork Intrusion Analysis menggunakan Bro IDS dan Data-Informed Approach
Network Intrusion Analysis menggunakan Bro IDS dan Data-Informed Approach
 
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule OptionsSistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options
Sistem Deteksi HTTP menggunakan HTTP Inspect Preprocessor dan Rule Options
 
Pengertian NAT, Proxy Server dan Firewall
Pengertian NAT, Proxy Server dan FirewallPengertian NAT, Proxy Server dan Firewall
Pengertian NAT, Proxy Server dan Firewall
 
SI&PI, RYAN JULIAN, HAPZI ALI, KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERA...
SI&PI, RYAN JULIAN, HAPZI ALI, KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERA...SI&PI, RYAN JULIAN, HAPZI ALI, KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERA...
SI&PI, RYAN JULIAN, HAPZI ALI, KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERA...
 
Tugas1 di adisty padmasari_on wide area network optimization
Tugas1 di adisty padmasari_on wide area network optimizationTugas1 di adisty padmasari_on wide area network optimization
Tugas1 di adisty padmasari_on wide area network optimization
 
Mari Mengenal Cloud Computing
Mari Mengenal Cloud ComputingMari Mengenal Cloud Computing
Mari Mengenal Cloud Computing
 

Mekanisme Pertahanan DDoS

  • 1. Mekanisme Pertahanan DDoS Studi Kasus: Komputasi Awan 5112100145 Hadrian Bayanulhaq S. 5112100175 Reyhan Arief 5112100177 Said Al Musayyab
  • 3. Prevention Mencoba untuk mengeliminasi kemungkinan serangan DDoS Memungkinkan untuk bertahan dari serangan tanpa menghentikan layanan terhadap klien yang sah Mengurangi dampak serangan DDoS
  • 4. Prevention: Over Provisioning Menyediakan resource berlebih untuk mengatasi jumlah traffic di atas normal Not sustainable 2009 → 49 Gbps (ARBOR Network report) 2013 → 300 Gbps (CloudFlare report 2014); Serangan DDoS rata-rata berukuran 1.5 Gbps (2012) hingga 3.5 Gbps (2013)
  • 5. Prevention: Modifikasi Algoritma Scheduling Tujuan: Lebih memilih legitimate traffic ketimbang malicious traffic How? DDoS resilient scheduler dan suspicion assignment mechanism [1, 2] Hasil pengujian: Suspicion-aware policies → response time 0.1 s Suspicion-agnostic policies → response time 10 s [1] Shameli-Sendi A, Dagenais M. ARITO: cyber-attack response system using accurate risk impact tolerance. Int J Inf Secur 2013. , http://dx.doi.org/10.1007/s10207-013-0222-9.
  • 6. Prevention: Resource Accounting dan QoS Mencatat penggunaan resource Contoh: bandwidth, process time Melakukan monitoring penggunaan resource Pengamanan resource dengan mekanisme QoS: Traffic shaping Congestion avoidance Traffic class priorities
  • 7. Monitoring and Detection Signature-based Detection Behaviour-based Detection
  • 8. Monitoring and Detection : Signature-based Pada teknik ini, traffic yang masuk di bandingkan dengan pola serangan yang sudah di defenisikan / di dapatkan sebelumnya. Tenkik ini berguna untuk mendeteksi komunikasi antara penyerang dan zombie nya. Namun teknik ini tidak efektif jika komunikasi antar penyerang dan zombie nya ter enkripsi.
  • 9. Monitoring and Detection : Behaviour-based Behaviour-based menentukan bahwa perilaku traffic berjalan normal. Penentuan perilaku dapat dibandingkan pola traffic DDOS. Perilaku normal didapatkan berdasarkan : Uplink & Downlink seharusnya proporsional Statistic on connection characteristic, digunakan untuk menentukan perilaku tidak yang tidak normal Memonitor traffic dan menggunakan machine learning untuk melakukan klasifikasi normal dan abnormal behaviour
  • 11. Mitigation Tactics Rate Limiting Flow rate-limiting : melakukan pembatasan traffic setiap individu client Aggregate rate-limiting : melakukan pembatasan berdasarkan sumber/tujuan aplikasi atau alamat, protokol, ataupun kriteria lain.
  • 12. Mitigation Tactics Filtering Address-based filtering filter berdasarkan Source IP Address, Source Port, Destination IP Address, Destination Port, Protocol, MAC Address Quick, simple & effective Signature-based filtering : filter berdasarkan signature yang telah didapatkan / di tentukan sebelumnya. Traffic di analisa untuk mendeteksi pola yang cocok dengan singature dari sebuah DDoS attack. Behavior-based filtering
  • 13. Mitigation Strategy Collaborative Firewall Cooperative Defense Menempatkan beberapa firewall dan bekerjasama untuk mengentikan serangan DDOS dari node terdekat Pushback Cooperative Defense Kolaborasi antar router, saling bertukar informasi mengenai malicious traffic (pushback) Blackholing Cooperative Defense Dikenal juga sebagai blackhole filtering, yaitu melakukan drop paket di level router.
  • 14. Mitigation Strategy Non-Collaborative-Dynamic strategy Redirecting & shunting Pada teknik ini traffic di arahkan ke interface lain. Malicious traffic tersebut di arahkan ke scrubbing centers. Beberapa solusi komersial yang berbasis teknik ini adalah : Riverhead Guard Cisco Guard
  • 15. Mitigation Strategy Reconfiguration Teknik reconfiguration ini mengubah topologi atau mengubah mekanisme pertahanan korban untuk mencegah serangan DDoS. Beberapa kategori reconfiguration : Service Reconfiguration Network Reconfiguration Defense Reconfiguration
  • 16. “There’s no 100% way of protecting yourself against a DDoS attack” -- David Jacoby, Global Research and Analysis Team at Kaspersky

Editor's Notes

  1. Prevention : Reyhan
  2. Monitorng & Detection : Hadrian
  3. Mitigation : Sa’id
  4. eof